[メルカリ流出] 匿名エンジニアA氏が語る「流出問題の本質」とは?(BUSINESS INSIDER JAPAN)



6月23日に公開した記事『「メルカリ個人情報流出に違和感」プロが疑問視ー 国内数百万会員の統括エンジニア独白」』では、その内容に対して大きな反響をいただいた。

【画像】[メルカリ流出] 匿名エンジニアA氏が語る「流出問題の本質」とは?

A氏やその他の開発者とも情報交換したうえで、SNS経由などで発信されたコメントを踏まえて、今回のメルカリ個人情報流出事故について改めて、先日のコメントの真意を、インタビュー形式でまとめた。

ー 前回の記事では非常に大きな反響をいただきました。記事中で言葉足らずだったり、非技術者向けに比喩的に言い換えた点(物理ファイル、という説明など。後ほど説明)について指摘が多く寄せられました。

A氏「はい、反響の大きさと勢いに驚きました。記事を話題にしていた私の知人に身元を明かしてヒアリングしたところ、いくつかの部分で真意が伝えられていなかったと感じました。

最初に書いておきますと、今回の個人情報流出で問題提起する必要があると強く感じたのは、“秘匿情報(個人情報など)“と“今回のシステムにおけるCDN(Content Delivery Network / コンテンツ配信ネットワーク)の組み合わせ“には、潜在的なリスクがあることです。コメントの中には、“動的なレスポンスをCDN経由にすることや同じリクエストURLとすることは今では一般的“という意見もありました。もちろん、それらを否定するつもりはありません。

ただ、メルカリ社側の報告資料では、再発防止策として“CDNで個人情報がキャッシュされていないことを監視する“としていますが、その方法だけでは、先ほどの“潜在的なリスク“は解消されていないのです。”今回の流出事故は単なる人為的ミスで設計上の問題ではないのではないか”との指摘もありますが、“CDNのキャッシュ設定の有無がサービスに重大な影響を与えてしまう“という状況に、システム設計者として違和感と疑問がありました。

システムにはどんなイレギュラーな事態が起こるかわからないうえに、今回リスクにさらされたのは重要な個人情報なのです。ですから、“キャッシュコントロールの設定が適正かどうか“だけではなく、“CDN側のキャッシュ設定に不具合や障害が発生したとき“であったとしても……もっと言えば“CDN側のキャッシュが何らかの理由で有効化されてしまった“としても、サービスに重大な影響を与えないような仕組みにしていかないと安心できないのではないか、と感じました」

ー技術系読者からはさまざまな指摘がありました。一例としては “物理的なファイル“や”ファイル名”という表現についてなどです。

A氏「そうですね。“物理的なファイルという形で同じファイル名を使っているのだとすれば“という表現について、技術系読者は違和感を感じたと思います。知人からも同様の指摘をもらいました。

この部分は、技術にあまり詳しくない方向けに噛み砕いて説明した箇所でした。“メモリー上の同一オブジェクトを参照する“といった言い方よりも、同じものが共有されたり上書きされたりすることがイメージしやすいようにという意図でした。

また一方でこの表現は、CDN側の挙動ではなく、“メルカリ社側が意図的に静的なファイルとして扱っているのでは“と誤解されるような表現だとも読めたかもしれません。

補足しますと、(一般読者にはやや専門的な説明になりますが)オリジンとなるメルカリ社側が動的なレスポンスデータをCDN経由で配信していたとしても、キャッシュが有効になっていると、別々のユーザからのアクセスであろうとも、“リクエストURLが同じものはCDN側でキャッシュされる際に同一のデータとして扱われてしまう可能性がある“ということが言いたかったのです。

この部分は、当初の報告文書では言及がなかったので推定として書いていたのですが、その後の報告文書アップデート(6月23日 15時40分)を見ると、“2. お客さまの情報が実際に第三者に表示されるケース“で、私が推定した動作に近い動きをしているようです」

ー 大規模配信システムの設計者として、今回の個人情報流出はどう見ていますか?

A氏「稼働中のシステムに対する、本当に適切な再発防止策の難しさです。“今回の問題が発生した原因”の観点から考えた場合は、CDNのキャッシュが無効であることをいかに担保するかに着目することになりますが、”個人情報の保護”という観点から考えた場合は、個人情報を安全に扱うための条件の改善(キャッシュが有効となっても再発しない仕組みに改善するなど)に着目することになります。したがって、設計に改善すべき点がない、とは言えないと思います。

これはもちろん、メルカリ社側も認識していると思いますし、またあれほどのサービスが作れるのであれば、より安全なシステムも作れるはずです。ここは、時間はかかっても改善するべきだと強く感じる点です」



こんな記事も読まれています



コメントを残す